首页 / PHP / PHP魔术引号详解讲解_PHP教程
PHP魔术引号详解讲解_PHP教程
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了PHP魔术引号详解讲解_PHP教程,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2281字,纯文字阅读大概需要4分钟。
内容图文
PHP之安全在于其默认配置php.ini-dist中具备一个magic_quotes_gpc = On的东西,叫“魔术引号(Magic Quote)”,对PHP初学者很有用,“尽管SQL注入在魔术引号打开的情况下仍然有可能实现,但起码系统的风险减少很多了”(PHP手册)。但是对于 PHP代码的移植性却造成了影响,而且并不是每一个被魔术引号转义的数据都需要写入数据库,这样就对程序的执行效率造成了影响,倒不如使用 addslashes(),所以在php.ini-recommended中magic_quotes_gpc = Off。
这里用一段函数来判断是否打开了magic_quotes_gpc,然后确定是否需要addslashes(),当然,这样做可能效率会受到影响。
PHP系统配置文件php.ini中有三个魔术引号配置选项:
| 魔术引号配置选项 | 描述 | 运行时改变 | PHP中的默认值 |
| magic_quotes_gpc | 如果打开的话,影响 到 HTTP 请求数据(GET,POST 和 COOKIE)。 | NO | On |
| magic_quotes_runtime | 如果打开的话,大部 份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。(前提是magic_quotes_gpc = On) | YES | Off |
| magic_quotes_sybase | 当关闭时,所有的
(单引号),"(双引号),(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。 如果打开的话,将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成 。而双引号、反斜线 和 NULL 字符将不会进行转义。 (前提是magic_quotes_gpc = On) |
YES | Off |
从上表可以看出,对于magic_quotes_runtime,在程序中用 ini_set(magic_quotes_runtime, 0);就可以把它关掉,然后可以用自己的方法来处理来自数据库或文件的数据。
但是要处理外部传来的全局变量就比较麻烦了。下面的代码可供使用,这里将屏蔽magic_quotes_sybase,只是将引号之类的东西前面加上反斜线(),用于提交给MySql数据库。
functionquotesOuterVars($var) {
if(is_array($var)) {
returnarray_map(quotesOuterVars,$var);
}else{
if(get_magic_quotes_gpc()) {
// 如果 magic_quotes_sybase=On,我们先把 替换成 ,然后再addslashes
if(ini_get(magic_quotes_sybase)) {
$var = str_replace("", "",$var);
$var=addslashes($var);
}
}else{
$var=addslashes($var);
}
returntrim($var);
}
}
?>
http://www.bkjia.com/PHPjc/486162.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/486162.htmlTechArticlePHP之安全在于其默认配置php.ini-dist中具备一个magic_quotes_gpc = On的东西,叫“魔术引号(Magic Quote)”,对PHP初学者很有用,“尽管SQL注入在...
内容总结
以上是互联网集市为您收集整理的PHP魔术引号详解讲解_PHP教程全部内容,希望文章能够帮你解决PHP魔术引号详解讲解_PHP教程所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。
来源:【匿名】